آشنایی با 15 نشانه نفوذ به شبکه

به داده‌های قابل استناد در جرم شناسی مثل داده‌هایی که در لاگ سیستم یا فایل‌های آن پیدا شده و می‌توانند به شناسایی فعالیت‌های مخرب در یک سیستم یا شبکه کمک کنند، «نشانه های نفوذ به شبکه» گفته می‌شود. این نشانه ها به کارشناسان فناوری و امنیت اطلاعات کمک می‌کنند تا بتوانند آلودگی‌های بدافزاری، نشت های اطلاعاتی یا سایر فعالیت‌های مخرب را شناسایی نمایند.

سازمان‌ها با نظارت بر نشانه های نفوذ قادر خواهند بود حملات را شناسایی کرده، به سرعت مانع از نفوذ مهاجمان شده یا با متوقف کردن آنها در همان مراحل اولیه، آسیب‌های احتمالی را به کمترین سطح ممکن برسانند. این نشانه ها به نوعی شبیه ردپای مجرمان بوده و کارشناسان امنیت اطلاعات می‌توانند از آنها برای شناسایی فعالیت‌های مخرب استفاده کنند.

فعالیت‌های غیرمتداول، علایم هشداری هستند که نشان دهنده قصد مهاجمان برای اجرای حمله یا در جریان بودن حملاتی هستند که ممکن است منجر به نشت های اطلاعاتی شود اما شاید شناسایی آنها همیشه کار آسانی نباشد. این علایم می‌توانند شامل وجود عناصری ساده در ابرداده‌ها یا کدهایی به شدت پیچیده و مخرب باشند. تحلیلگران معمولاً برای تشخیص ارتباط بین نشانه های نفوذ و سرهم کردن آنها جهت تحلیل یک تهدید یا حادثه بالقوه، نشانه های مختلف را بررسی می‌کنند.

نشانه های نفوذ به شبکه و علایم حمله

نشانه های حمله شبیه علایم نفوذ هستند؛ با این تفاوت که به جای تمرکز بر تحلیل جرم شناسی حمله‌ای که قبلاً به وقوع پیوسته، بر شناسایی فعالیت‌های مهاجمان در هنگام اجرای حمله تمرکز دارند. نشانه های نفوذ می‌توانند به پرسش «چه اتفاقی رخ داده؟»  پاسخ دهند، در حالی که علایم حمله به پرسش «چه اتفاقی در جریان است و چرا؟» جواب می­‌دهند. در روش‌های پیشگیرانه، از هر دو گروه این نشانه ها برای شناسایی تهدیدها یا حوادث امنیتی در سریع‌ترین زمان ممکن استفاده می‌شود.

نمونه‌هایی از نشانه های نفوذ به شبکه

نشانه های نفوذ مختلفی وجود دارد که سازمان‌ها باید آنها را زیر نظر داشته باشند. در این مقاله، 15 مورد از مهم‌ترین نشانه های نفوذ به شبکه بررسی شده که عبارتند از:

  1. ترافیک خروجی غیرعادی
  2. فعالیت‌های غیرعادی در حساب‌های کاربری که سطح دسترسی بالایی دارند.
  3. ورود به حساب کاری یا سخت‌افزارها از مکان‌های مختلف، بدون وجود الگوی منظم
  4. علایم هشدار درباره ورود به حساب کاربری
  5. افزایش تعداد دستورات خواندن از پایگاه داده
  6. اندازه پاسخ‌های HTML
  7. تعداد زیاد درخواست برای کار با یک فایل
  8. تطبیق نداشتن ترافیک برنامه کاربردی با پورت مورد استفاده
  9. تغییر مشکوک فایل‌های سیستمی یا رجیستری
  10. درخواست‌های غیرطبیعی DNS
  11. نصب غیرمنتظره وصله و به‌روزرسانی سیستم‌ها
  12. تغییر پروفایل دستگاه‌های همراه
  13. قرار داشتن داده ها در مکان‌های نامناسب
  14. ترافیک وب با رفتار غیرعادی
  15. علایم حملات ممانعت از سرویس توزیع شده (DDoS)

استفاده از نشانه های نفوذ برای بهبود تشخیص و واکنش

نظارت بر نشانه های نفوذ به شبکه، به سازمان‌ها کمک می کند که بتوانند رخنه‌های امنیتی را بهتر تشخیص داده و با آنها مقابله کنند. جمع آوری این نشانه ها و برقراری ارتباط بین آنها به صورت لحظه‌ای به سازمان‌ها کمک می‌کند تا حوادث امنیتی را که ممکن است سایر ابزارها قادر به تشخیص آنها نباشند، با سرعت بیشتری شناسایی نمایند.

اگر تیم‌های امنیت سازمانی الگوهای خاصی از نشانه های نفوذ را پیدا کنند می‌توانند ابزارها و سیاست‌های امنیتی خودشان را به‌روزرسانی کرده تا در برابر حملات آتی مقاوم‌تر شوند.

در حال حاضر شاهد حرکت سازمان‌ها به سمت انتشار گزارش نتایج این تحلیل‌ها به روشی منسجم و سازمان دهی شده هستیم تا کارشناسان فناوری و امنیت اطلاعات بتوانند فرایند شناسایی، مقابله و گزارش حوادث امنیتی را خودکارسازی کنند. عده‌ای در این صنعت بر این باورند که مستندسازی نشانه های نفوذ و تهدیدهای سایبری به افراد و سازمان‌ها کمک می‌کند تا اطلاعات لازم را بین سایر اعضای جامعه امنیت سایبری به اشتراک گذاشته و واکنش به نفوذ و جرم شناسی را بهتر از قبل انجام دهند.

چارچوب “OpenIOC” یکی از روش‌های ارایه شده برای جمع آوری و یکپارچه کردن نتایج تحلیل‌های جرم شناسی است. STIX و TAXII هم در حال تلاش برای استاندارد کردن فرایند مستندسازی و گزارش دهی نشانه های نفوذ هستند.

لازم به ذکر است نشانه های نفوذبه شبکه نقش مهمی در مبارزه با بدافزارها و حملات سایبری دارند. هر چند ماهیت کلی آنها واکنشی است اما سازمان‌هایی که آنها را با دقت تحت نظر داشته و در جریان تازه‌ترین یافته‌های این حوزه باشند می‌توانند میزان شناسایی و زمان واکنش به حادثه را به میزان قابل توجهی بهبود بخشند.

 

منبع: digitalguardian

 

خروج از نسخه موبایل